据外媒报道,有研究人员表示,NSA (美国国家安全局) 3月初发布的通用反汇编和反编译程序Ghidra存在远程代码执行漏洞,Ghidra在加载工程时会存在XXE。

GitHub的一份报告显示,任何一个能够欺骗用户打开或恢复设计项目的人,都可以利用这个漏洞来影响项目的打开/恢复。

复现漏洞需要新建一个项目,然后将XXE有效负载放在项目目录中的XML文件中。一旦打开项目,就会执行有效负载。使用sghctoma句柄的研究人员发现,该漏洞也在归档项目(.gar files)中存在。

研究人员表示,基于之前对XXE漏洞利用的研究,发现了攻击者可以利用Windows操作系统中NTLM协议的Java特性和弱点来实现远程代码执行。

要远程利用该漏洞,攻击者需要部署具有NTLM身份验证的HTTP服务器,然后使用XXE/SSRF漏洞强制用户进行NTLM身份验证。NTLM中继攻击可以从本地身份验证转移到网络身份验证。

当受害者使用Ghidra打开这个恶意项目时,攻击者可以从受害者的机器上获得NTLM Hash,从而在受害者的机器上执行任意命令。

要预防这个问题,应该配置Windows防火墙来阻止传入的SMB请求。如果需要SMB服务器,则启用SMBSign,并将JDK升级到最新版本。

XXE漏洞将在Ghidra的下一个版本(即9.0.1)中得到解决。不过,最新版本尚未公布。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。